VPN Gatewayは、断片化されたパケットを送信できますが、パケットの断片を再構築できません。 IPsec-VPNを使用すると、IPsecプロトコルによってパケットが暗号化されるため、パケットサイズが大きくなります。 増加したパケットサイズは、ネットワークの最大伝送単位 (MTU) を超え、パケットの伝送に影響を及ぼす可能性がある。 このトピックでは、MTU値を設定してパケットを期待どおりに送信できるようにする方法について説明します。
原則
このトピックでは、前の図を例として、MTU値の設定方法について説明します。 この例では、データセンターはIPsec-VPN接続を使用して仮想プライベートクラウド (VPC) に接続されています。 クライアントがVPCにアクセスすると、パケットはオンプレミスゲートウェイデバイスで暗号化され、インターネットに送信されます。 パケットは、インターネットアクセスをサポートするネットワークデバイスであるルータ2とルータ3を介してVPNゲートウェイに送信されます。
- ユーザーMTU
ユーザMTUは、クライアントとオンプレミスゲートウェイ装置との間の全てのネットワーク装置インターフェースの最小MTUである。 ユーザMTUは、クライアントによって送信されるパケットのサイズを制限する。
この例では、ユーザMTUは、「1」とマークされたインタフェースの最小MTUである。
- パブリックインターフェースMTU
パブリックインターフェイスMTUは、オンプレミスゲートウェイデバイス上のVPNゲートウェイに接続されているパブリックインターフェイスのMTUです。 パブリックインターフェイスMTUは、暗号化パケットのサイズを制限します。
この例では、公開インターフェースMTUは、「2」とマークされたインターフェースのMTUである。
- パスMTU
パスMTUは、インターネットアクセスをサポートするすべてのネットワークデバイスインターフェイスの最小MTUです。 経路MTUは、暗号化されたパケットのサイズを制限する。
パスMTUについては、インターネットサービスプロバイダー (ISP) に相談できます。 デフォルトでは、イーサネットのパスMTUは1,500バイトです。
この例では、パスMTUは、「3」とマークされたインタフェースの最小MTUである。
パケットを期待どおりに送信できるようにするには、データセンターでユーザーMTUとパブリックインターフェイスMTUを設定する必要があります。 MTU値が次の条件を満たしていることを確認します。
最大ユーザーMTU = min {パブリックインターフェイスMTU, パスMTU} - 101
例:
Maximum user MTU = min {1,500,1,500} - 101 = 1,500 - 101 = 1,399 bytes
この場合、クライアントからは1,399バイトを超えないサイズのパケットを送信することをお勧めします。 さもなければ、パケットは送信されないかもしれない。
Set the MSS value
MSS = User MTU - IP packet header size (20 bytes) - TCP packet header size (20 bytes)
例えば、パブリックインタフェースMTU及びパスMTUが共に1,500バイトである場合、最大ユーザMTUは1,399バイトである。 パケットがセグメント化されないことを保証するために、MSSは1,359バイトを超えることはできない。